- Văn bản
- Lịch sử
E(Ti ) and E(Ti ) are values of fea
E(Ti ) and E(Ti ) are values of feature Ti and they are
previously calculated from set Q. Set Q doesn’t include files
that we want to detect. It is easy to realize that D(Ti) max =
N V N V
or a benign file.
Select case W
Case “high”:
if ( s >0.9) OR (fm - fb >0.75) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
Case “medium”:
if ( s >0.75) OR (fm - fb >0.5) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
Case “low”:
if ( s >0.5) OR (fm >0.5) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
End Select
B. Analysis
When a file is recognized as a worm, it is saved in M set, and a file is recognized as a benign file, it is saved in B set. Antivirus software can use this result to detect its variations by other algorithms such as secure hash algorithm, … In the future, we use this result to calculate again D(Ti) as a learning machine algorithm and we present it in another paper.
Features Ai are determined after analyze features of Q files set. It includes static and dynamic features such as api function calls, behaviors of worm and benign application, … Features Ti are determined from set A by feature extraction algorithm, after sorting features Ai according to D(Ai) descending sequence. For example, if we choose api function calls as features, set A includes all api functions of windows. But “unknown malicious code detection algorithm” only examines api functions that chosen in set T.
There are some features that you always use them to detect statically. Some features always use to detect dynamically. But some features can use for both. For example, feature “The external storage device contains many files that have the same contents with file f”. If our USB doesn’t infect worm, we use this feature as a dynamic feature. When our USB infected worms such as w32-virut.gen (the worm is named by Avira),
0.71 when E(Ti )=1 and E(Ti )=0 or E(Ti )=0 and E(Ti )=1.
It means that Ti is particular feature of malicious codes or benign application. If you find such a feature in file f, you can conclude f is a malicious code (or benign application) but your appraisal is not 100% precisely because D(Ti) is only calculated on a sample files set. When set Q is large enough for data mining technique, D(Ti) value decreases. Because it’s difficult to find a particular feature of all malicious codes or all benign files. So the algorithm examines many features to get fm >=1 or fb >=1. In this case, if we find a feature that has D(Ti) = 0.71, our appraisal is more precisely. Our algorithm always previously examines features that have higher D(Ti) value. Because they are particular features of malicious codes or benign application. For example, we examine a file word, if feature “no macro” is detected, it is not necessary to continue. Our approach allows to save time for detecting worms and polymorphic worm. For example, W32.sality.y is a polymorphic worm. Although this worm can create new files that have difference size. But it still have features that we can detect it statically when it infected in our USB or in our computer. If we only have a new file and we don’t know if it is worm or not? Antivirus software runs it to detect dynamic features. But when our computer infected W32.sality.y or we plug an USB that infected W32.sality.y into our computer, antivirus software can detect it that needn’t run file. It’s not necessary to examine all features of set T.
previously calculated from set Q. Set Q doesn’t include files
that we want to detect. It is easy to realize that D(Ti) max =
N V N V
or a benign file.
Select case W
Case “high”:
if ( s >0.9) OR (fm - fb >0.75) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
Case “medium”:
if ( s >0.75) OR (fm - fb >0.5) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
Case “low”:
if ( s >0.5) OR (fm >0.5) then
k d
return “f is the malicious code”
else
return “f is the benign file” end if
End Select
B. Analysis
When a file is recognized as a worm, it is saved in M set, and a file is recognized as a benign file, it is saved in B set. Antivirus software can use this result to detect its variations by other algorithms such as secure hash algorithm, … In the future, we use this result to calculate again D(Ti) as a learning machine algorithm and we present it in another paper.
Features Ai are determined after analyze features of Q files set. It includes static and dynamic features such as api function calls, behaviors of worm and benign application, … Features Ti are determined from set A by feature extraction algorithm, after sorting features Ai according to D(Ai) descending sequence. For example, if we choose api function calls as features, set A includes all api functions of windows. But “unknown malicious code detection algorithm” only examines api functions that chosen in set T.
There are some features that you always use them to detect statically. Some features always use to detect dynamically. But some features can use for both. For example, feature “The external storage device contains many files that have the same contents with file f”. If our USB doesn’t infect worm, we use this feature as a dynamic feature. When our USB infected worms such as w32-virut.gen (the worm is named by Avira),
0.71 when E(Ti )=1 and E(Ti )=0 or E(Ti )=0 and E(Ti )=1.
It means that Ti is particular feature of malicious codes or benign application. If you find such a feature in file f, you can conclude f is a malicious code (or benign application) but your appraisal is not 100% precisely because D(Ti) is only calculated on a sample files set. When set Q is large enough for data mining technique, D(Ti) value decreases. Because it’s difficult to find a particular feature of all malicious codes or all benign files. So the algorithm examines many features to get fm >=1 or fb >=1. In this case, if we find a feature that has D(Ti) = 0.71, our appraisal is more precisely. Our algorithm always previously examines features that have higher D(Ti) value. Because they are particular features of malicious codes or benign application. For example, we examine a file word, if feature “no macro” is detected, it is not necessary to continue. Our approach allows to save time for detecting worms and polymorphic worm. For example, W32.sality.y is a polymorphic worm. Although this worm can create new files that have difference size. But it still have features that we can detect it statically when it infected in our USB or in our computer. If we only have a new file and we don’t know if it is worm or not? Antivirus software runs it to detect dynamic features. But when our computer infected W32.sality.y or we plug an USB that infected W32.sality.y into our computer, antivirus software can detect it that needn’t run file. It’s not necessary to examine all features of set T.
0/5000
E (Ti) và E (Ti) là giá trị của các tính năng Ti và họtrước đó đã được tính toán từ thiết lập Q. thiết lập Q không bao gồm các tập tinchúng tôi muốn phát hiện. Nó rất dễ dàng để nhận ra rằng max D(Ti) = N V N V hoặc một tập tin lành tính.Chọn trường hợp WTrường hợp "cao":Nếu (s > 0,9) hoặc (fm - fb > 0,75) sau đók đột dtrở về "f là mã độc hại"kháctrở về "f là tập tin lành tính" cuối nếuTrường hợp "trung bình":Nếu (s > 0,75) hoặc (fm - fb > 0,5) sau đók đột dtrở về "f là mã độc hại"kháctrở về "f là tập tin lành tính" cuối nếuTrường hợp "low":Nếu (s > 0,5) hoặc (fm > 0,5) sau đók đột dtrở về "f là mã độc hại"kháctrở về "f là tập tin lành tính" cuối nếuCuối cùng chọnB. phân tíchKhi một file được công nhận là một con sâu, nó được lưu trong M thiết lập, và một tập tin được công nhận là một tập tin lành tính, nó sẽ được lưu vào B thiết lập. Phần mềm chống virus có thể sử dụng kết quả này để phát hiện các biến thể của nó bởi các thuật toán khác như secure hash algorithm... Trong tương lai, chúng tôi sử dụng kết quả này để tính toán một lần nữa D(Ti) như học tập một thuật toán máy tính và chúng tôi trình bày trong một bài báo.Tính năng Ai được xác định sau khi phân tích các tính năng của Q tập tin thiết lập. Nó bao gồm các tính năng tĩnh và năng động như api chức năng cuộc gọi, hành vi của con sâu và lành tính ứng dụng... Tính năng Ti được xác định từ tập A bằng các thuật toán khai thác tính năng, sau khi phân loại tính năng Ai theo D(Ai) thứ tự giảm dần. Ví dụ, nếu chúng tôi chọn gọi api chức năng như các tính năng, tập A bao gồm tất cả các chức năng api của windows. Nhưng "thuật toán phát hiện mã độc không rõ" chỉ kiểm tra api chức năng được lựa chọn trong thiết lập T.Không có một số tính năng mà bạn luôn luôn sử dụng chúng để phát hiện tĩnh. Một số tính năng luôn luôn sử dụng để phát hiện tự động. Tuy nhiên, một số tính năng có thể sử dụng cho cả hai. Ví dụ, tính năng "các thiết bị lưu trữ bên ngoài có chứa nhiều các tập tin có nội dung tương tự với tập tin f". Nếu USB của chúng tôi không lây nhiễm giun, chúng tôi sử dụng tính năng này như là một tính năng động. Khi chúng tôi USB nhiễm giun như w32-virut.gen (sâu được đặt tên bởi Avira), 0,71 khi E (Ti) = 1 và E (Ti) = 0 hoặc E (Ti) = 0 và E (Ti) = 1.Nó có nghĩa rằng Ti các tính năng cụ thể của các mã độc hại hoặc lành tính ứng dụng. Nếu bạn tìm thấy một tính năng trong tập tin, bạn có thể kết luận f là một mã độc hại (hoặc lành tính ứng dụng), nhưng thẩm định của bạn không phải là 100% chính xác bởi vì D(Ti) chỉ được tính toán trên một mẫu tập tin thiết lập. Khi thiết lập Q là đủ lớn cho dữ liệu khai thác kỹ thuật, làm giảm giá trị D(Ti). Bởi vì nó là khó khăn để tìm thấy một tính năng đặc biệt của tất cả các mã độc hại hoặc tất cả các tập tin lành tính. Vì vậy, các thuật toán kiểm tra nhiều tính năng để có được fm > = 1 hoặc fb > = 1. Trong trường hợp này, nếu chúng tôi tìm thấy một tính năng mà có D(Ti) = 0,71, thẩm định chúng tôi là chính xác hơn. Thuật toán của chúng tôi luôn luôn đã kiểm tra tính năng có giá trị cao hơn D(Ti). Bởi vì họ là các tính năng cụ thể của các mã độc hại hoặc lành tính ứng dụng. Ví dụ, chúng tôi kiểm tra một tập tin word, nếu tính năng "không có macro" được phát hiện, nó không phải là cần thiết để tiếp tục. Phương pháp tiếp cận của chúng tôi cho phép để tiết kiệm thời gian cho việc phát hiện sâu và bướu sâu. Ví dụ, W32.sality.y là một con sâu bướu. Mặc dù con sâu này có thể tạo ra tệp mới có sự khác biệt kích thước. Nhưng nó vẫn còn có tính năng mà chúng tôi có thể phát hiện nó tĩnh khi nó nhiễm trong USB của chúng tôi hoặc trong máy tính của chúng tôi. Nếu chúng tôi chỉ có một tập tin mới và chúng tôi không biết nếu nó là sâu hay không? Phần mềm diệt virus chạy nó phát hiện năng động. Nhưng khi máy tính của chúng tôi nhiễm W32.sality.y hoặc chúng tôi cắm một USB nhiễm W32.sality.y vào máy tính của chúng tôi, phần mềm chống vi-rút có thể phát hiện nó mà không cần phải chạy tập tin. Nó không phải là cần thiết để kiểm tra tất cả các tính năng của thiết lập T.
đang được dịch, vui lòng đợi..
E (Ti) và E (Ti) là giá trị của tính năng Ti và họ
trước đây đã tính từ thiết Q. Set Q không bao gồm các tập tin
mà chúng tôi muốn phát hiện. Nó rất dễ dàng để nhận ra rằng D (Ti) max =
NVNV
hoặc một tập tin lành tính.
Chọn trường hợp W
Case "cao":
if (s> 0,9) OR (fm - fb> 0,75) sau đó
k d
trở về "f là độc hại mã "
khác
lại" e là lành tính tập tin "kết thúc nếu
Case" trung bình ":
if (s> 0,75) OR (fm - fb> 0.5) sau đó
k d
trở về" f là mã độc hại "
khác
lại" f là lành tính tập tin "kết thúc nếu
Case" thấp ":
if (s> 0,5) OR (fm> 0.5) sau đó
k d
trở về" f là mã độc "
khác
lại" e là lành tính tập tin "kết thúc nếu
End Select
B. Phân tích
Khi một tập tin được công nhận là một con sâu, nó được lưu trong bộ M, và một tập tin được công nhận là một tập tin lành tính, nó được lưu trong tập B. Phần mềm chống virus có thể sử dụng kết quả này để phát hiện biến thể của nó bởi các thuật toán khác như thuật toán băm an toàn, ... Trong tương lai, chúng tôi sử dụng kết quả này để tính toán lại D (Ti) là một thuật toán máy học và chúng tôi trình bày nó trong một bài báo khác.
Tính năng Ái được xác định sau khi phân tích các tính năng của file Q thiết. Nó bao gồm các tính năng tĩnh và năng động như các cuộc gọi chức năng API, các hành vi của sâu và ứng dụng lành tính, ... Đặc điểm Ti được xác định từ tập A bằng thuật toán khai thác tính năng, sau khi phân loại tính năng Ai theo D (Ai) tự giảm dần. Ví dụ, nếu chúng ta chọn api chức năng cuộc gọi như các tính năng, thiết lập A bao gồm tất cả các chức năng api của cửa sổ. Nhưng "không rõ độc hại phát hiện thuật toán mã" chỉ kiểm tra chức năng api mà chọn trong bộ T.
Có một số tính năng mà bạn luôn luôn sử dụng chúng để phát hiện tĩnh. Một số tính năng luôn luôn sử dụng để phát hiện tự động. Nhưng một số tính năng có thể sử dụng cho cả hai. Ví dụ, tính năng "Các thiết bị lưu trữ bên ngoài có chứa nhiều tập tin có nội dung tương tự với tập tin f". Nếu USB của chúng tôi không lây nhiễm con sâu, chúng tôi sử dụng tính năng này như một tính năng năng động. Khi giun nhiễm USB của chúng tôi như w32-virut.gen (worm được đặt tên bởi Avira),
0,71 khi E (Ti) = 1 và E (Ti) = 0 hoặc E (Ti) = 0 và E (Ti) = 1 .
Nó có nghĩa là Ti là tính năng đặc biệt của mã độc hại hoặc ứng dụng lành tính. Nếu bạn tìm thấy một tính năng như vậy trong tập tin f, bạn có thể kết luận f là một mã độc hại (hoặc ứng dụng lành tính) nhưng thẩm định của bạn không phải là 100% chính vì D (Ti) chỉ được tính trên một tập tin mẫu thiết. Khi thiết lập Q là đủ lớn cho kỹ thuật khai thác dữ liệu, D (Ti) giá trị giảm. Bởi vì rất khó để tìm thấy một tính năng đặc biệt của tất cả các mã độc hại hoặc tất cả các file lành tính. Vì vậy, các thuật toán kiểm tra nhiều tính năng để có được fm> = 1 hoặc fb> = 1. Trong trường hợp này, nếu chúng ta tìm thấy một tính năng mà có D (Ti) = 0,71, thẩm định của chúng tôi là chính xác hơn. Thuật toán của chúng tôi luôn luôn trước đó kiểm tra các tính năng có giá trị cao hơn D (Ti). Bởi vì họ là những tính năng đặc biệt của mã độc hại hoặc ứng dụng lành tính. Ví dụ, chúng ta xem xét một từ tập tin, nếu tính năng "không có vĩ mô" được phát hiện, nó không phải là cần thiết để tiếp tục. Cách tiếp cận của chúng tôi cho phép tiết kiệm thời gian cho việc phát hiện sâu và sâu đa hình. Ví dụ, W32.sality.y là một con sâu đa hình. Mặc dù con sâu này có thể tạo ra các file mới có kích thước khác nhau. Nhưng nó vẫn có các tính năng mà chúng ta có thể phát hiện nó tĩnh khi nó bị nhiễm trong USB của chúng tôi hoặc trong máy tính của chúng tôi. Nếu chúng ta chỉ có một tập tin mới và chúng tôi không biết nếu nó là con sâu hay không? Phần mềm diệt virus chạy nó để phát hiện tính năng động. Nhưng khi máy tính của chúng tôi bị nhiễm W32.sality.y hoặc chúng ta cắm một USB bị nhiễm W32.sality.y vào máy tính của chúng tôi, phần mềm chống virus có thể phát hiện nó mà không cần phải chạy file. Nó không cần thiết để kiểm tra tất cả các tính năng của bộ T.
trước đây đã tính từ thiết Q. Set Q không bao gồm các tập tin
mà chúng tôi muốn phát hiện. Nó rất dễ dàng để nhận ra rằng D (Ti) max =
NVNV
hoặc một tập tin lành tính.
Chọn trường hợp W
Case "cao":
if (s> 0,9) OR (fm - fb> 0,75) sau đó
k d
trở về "f là độc hại mã "
khác
lại" e là lành tính tập tin "kết thúc nếu
Case" trung bình ":
if (s> 0,75) OR (fm - fb> 0.5) sau đó
k d
trở về" f là mã độc hại "
khác
lại" f là lành tính tập tin "kết thúc nếu
Case" thấp ":
if (s> 0,5) OR (fm> 0.5) sau đó
k d
trở về" f là mã độc "
khác
lại" e là lành tính tập tin "kết thúc nếu
End Select
B. Phân tích
Khi một tập tin được công nhận là một con sâu, nó được lưu trong bộ M, và một tập tin được công nhận là một tập tin lành tính, nó được lưu trong tập B. Phần mềm chống virus có thể sử dụng kết quả này để phát hiện biến thể của nó bởi các thuật toán khác như thuật toán băm an toàn, ... Trong tương lai, chúng tôi sử dụng kết quả này để tính toán lại D (Ti) là một thuật toán máy học và chúng tôi trình bày nó trong một bài báo khác.
Tính năng Ái được xác định sau khi phân tích các tính năng của file Q thiết. Nó bao gồm các tính năng tĩnh và năng động như các cuộc gọi chức năng API, các hành vi của sâu và ứng dụng lành tính, ... Đặc điểm Ti được xác định từ tập A bằng thuật toán khai thác tính năng, sau khi phân loại tính năng Ai theo D (Ai) tự giảm dần. Ví dụ, nếu chúng ta chọn api chức năng cuộc gọi như các tính năng, thiết lập A bao gồm tất cả các chức năng api của cửa sổ. Nhưng "không rõ độc hại phát hiện thuật toán mã" chỉ kiểm tra chức năng api mà chọn trong bộ T.
Có một số tính năng mà bạn luôn luôn sử dụng chúng để phát hiện tĩnh. Một số tính năng luôn luôn sử dụng để phát hiện tự động. Nhưng một số tính năng có thể sử dụng cho cả hai. Ví dụ, tính năng "Các thiết bị lưu trữ bên ngoài có chứa nhiều tập tin có nội dung tương tự với tập tin f". Nếu USB của chúng tôi không lây nhiễm con sâu, chúng tôi sử dụng tính năng này như một tính năng năng động. Khi giun nhiễm USB của chúng tôi như w32-virut.gen (worm được đặt tên bởi Avira),
0,71 khi E (Ti) = 1 và E (Ti) = 0 hoặc E (Ti) = 0 và E (Ti) = 1 .
Nó có nghĩa là Ti là tính năng đặc biệt của mã độc hại hoặc ứng dụng lành tính. Nếu bạn tìm thấy một tính năng như vậy trong tập tin f, bạn có thể kết luận f là một mã độc hại (hoặc ứng dụng lành tính) nhưng thẩm định của bạn không phải là 100% chính vì D (Ti) chỉ được tính trên một tập tin mẫu thiết. Khi thiết lập Q là đủ lớn cho kỹ thuật khai thác dữ liệu, D (Ti) giá trị giảm. Bởi vì rất khó để tìm thấy một tính năng đặc biệt của tất cả các mã độc hại hoặc tất cả các file lành tính. Vì vậy, các thuật toán kiểm tra nhiều tính năng để có được fm> = 1 hoặc fb> = 1. Trong trường hợp này, nếu chúng ta tìm thấy một tính năng mà có D (Ti) = 0,71, thẩm định của chúng tôi là chính xác hơn. Thuật toán của chúng tôi luôn luôn trước đó kiểm tra các tính năng có giá trị cao hơn D (Ti). Bởi vì họ là những tính năng đặc biệt của mã độc hại hoặc ứng dụng lành tính. Ví dụ, chúng ta xem xét một từ tập tin, nếu tính năng "không có vĩ mô" được phát hiện, nó không phải là cần thiết để tiếp tục. Cách tiếp cận của chúng tôi cho phép tiết kiệm thời gian cho việc phát hiện sâu và sâu đa hình. Ví dụ, W32.sality.y là một con sâu đa hình. Mặc dù con sâu này có thể tạo ra các file mới có kích thước khác nhau. Nhưng nó vẫn có các tính năng mà chúng ta có thể phát hiện nó tĩnh khi nó bị nhiễm trong USB của chúng tôi hoặc trong máy tính của chúng tôi. Nếu chúng ta chỉ có một tập tin mới và chúng tôi không biết nếu nó là con sâu hay không? Phần mềm diệt virus chạy nó để phát hiện tính năng động. Nhưng khi máy tính của chúng tôi bị nhiễm W32.sality.y hoặc chúng ta cắm một USB bị nhiễm W32.sality.y vào máy tính của chúng tôi, phần mềm chống virus có thể phát hiện nó mà không cần phải chạy file. Nó không cần thiết để kiểm tra tất cả các tính năng của bộ T.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- 유어웰컴..☆Subscriberclaire_U: 이깁시다 ㅇㅅㅇxNeme
- thông thoáng
- All Euro‘pean jurisdictions adopt a comp
- ề phần Bạch Tuyết, cô cứ chạy mãi chạy m
- Các doanh nghiệp tự mình tận dụng hết ng
- The Double-Edged Sword
- E(Ti ) and E(Ti ) are values of feature
- I like play football
- Kimochi....a.aaa....Yamete
- Each room was divided by a wire mesh int
- Your eyesand face lips heair truely my h
- I don't understand about your display pi
- tôi có kiến thức tốt ở mảng giao tiếp, c
- to correction
- 약
- ban có thể gửi cho tôi trước không
- menu bar
- After the installation, the desktop show
- how has this changed from generation to
- to error
- no of employees
- acute, unusual, persistent, unexpected,
- I like playing football
- Sword
